Mozilla ondersteunt tweetrapsauthenticatie voor Firefox-accounts

Mozilla is begonnen met het ondersteunen van tweetrapsauthenticatie voor Firefox-accounts. Tot nu toe konden gebruikers het account dat de browser gebruikt voor het synchroniseren van data alleen beveiligen met een wachtwoord.

FirefoxMozilla maakt gebruik van Time-based One-Time Password voor tweetrapsauthenticatie. Daardoor werkt het met verschillende systemen voor het genereren van codes, schrijft de browserbouwer. Gebruikers kunnen onder meer Google Authenticator, Duo en Authy gebruiken om de codes te genereren.

Ook krijgen gebruikers codes om toegang tot het account te herstellen als ze niet meer bij hun authenticatie-toepassing kunnen. Mozilla adviseert gebruikers om die codes op een veilige plek te bewaren.

Firefox-gebruikers kunnen tweetrapsauthenticatie aanzetten in de instellingen van de browser. Als er onder Account Beheren geen optie verschijnt, is het mogelijk om "&showTwoStepAuthentication=true" toe te voegen aan de url om de optie te laten verschijnen.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 23-05-2018 21:03
34 • submitter: HKLM_

23-05-2018 • 21:03

34

Submitter: HKLM_

Lees meer

Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf
Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf Nieuws van 11 augustus 2022
Google Authenticator krijgt exportfunctie om codes naar ander apparaat te zetten
Google Authenticator krijgt exportfunctie om codes naar ander apparaat te zetten Nieuws van 7 mei 2020
Firefox toont vanaf volgende week gesponsorde links aan gebruikers in VS
Firefox toont vanaf volgende week gesponsorde links aan gebruikers in VS Nieuws van 1 mei 2018
NU.nl laat gebruikers weer reageren en stapt over op Mozilla-reactieplatform
NU.nl laat gebruikers weer reageren en stapt over op Mozilla-reactieplatform Nieuws van 19 april 2018
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij
W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij Nieuws van 11 april 2018
Mozilla werkt aan Firefox Reality-browser voor vr- en ar-headsets
Mozilla werkt aan Firefox Reality-browser voor vr- en ar-headsets Nieuws van 3 april 2018
Meer producten en artikelen
Netwerk en systeembeheer Mozilla Firefox

Reacties (34)

-Moderatie-faq
34
34
12
1
0
13
Wijzig sortering

Sorteer op:

Weergave:
trevoc 23 mei 2018 21:23
Beetje een n00b vraag, maar hoe veilig is hiermee de passwordmanager van Firefox?
Krulliebol @trevoc24 mei 2018 13:08
Je kunt de passwordmanager alleen lokaal gebruiken, dan maakt het niets uit. Als je een Firefox-account hebt waarin je de passwordmanager gebruikt (dus: je wachtwoorden vanaf verschillende computers kunnen benaderen), wordt het hiermee iets veiliger: hackers hebben niet genoeg aan alleen het bruteforcen van je wachtwoord.

Maar in beide gevallen is het niet echt veilig: als de passwordmanager geactiveerd is, kunnen malafide websites en malware wachtwoorden uitlezen.

[Reactie gewijzigd door Krulliebol op 25 juli 2024 20:57]

_Thanatos_ @Krulliebol25 mei 2018 13:06
Waar het niets aan toevoegt, is hoe veilig je wachtwoorden bij Mozilla zijn opgeslagen. Je hebt nog steeds geen idee hoe makkelijk die servers hackbaar zijn, in hoeverre ze de wachtwoorden encrypten op hun systeem, en hoe makkelijk Mozilla-medewerkers die wachtwoorden kunnen inzien.
Neko Koneko 23 mei 2018 21:09
Nice, meteen ingeschakeld :) Ik wil als het even kan op al mijn accounts tweetraps authenticatie hebben.
Miglow @Neko Koneko23 mei 2018 23:42
Ik niet, je blijft overal wachtwoorden intikken en op je telefoon meldingen wegtikken. Browser onthoudt gebruikersnaam en wachtwoord en ik blijf gewoon ingelogd.
lohost 23 mei 2018 21:21
Eh, als ik inlog bij sync, dan moet ik daarna via een link in mijn mail de aanmelding bevestigen. Hoe noemen ze dat dan als het geen tweetraps is?
totaalgeenhard @lohost23 mei 2018 21:39
De definitie: Two-factor authentication is dat beide niet over zelfde medium gaat.

Een email gaat over hetzelfde medium dus is niet veel "veiliger".

Terwijl het afvangen van je SMS om je TAN code van je ING af te vangen al zo specifiek gericht is dat men je specifiek moet hebben en kosten/baten/energie tegen "kwaadwillende" werkt.
lohost @totaalgeenhard24 mei 2018 08:10
Thanks!
_Thanatos_ @totaalgeenhard25 mei 2018 13:04
TFA is inloggen met iets dat je weet en iets dat je hebt. Dat kan verschillende vormen aannemen. Maar het probleem is dat het bij de meeste aanbieders alleen maar gerommel met codes toevoegt en weinig of geen security toevoegt ná het inloggen. SMS is uiterst onveilig, omdat het als cleartext door de lucht wordt geslingerd. E-mail is dan veel veiliger, mits je een fatsoenlijke provider hebt.

Bij ABN-AMRO log je in met je pinpas, dus je hebt feitelijk een smartcard-login. Dat is pas veilig.
Zonder pincode (iets dat je weet) kom je er niet in en zonder pas (iets dat je hebt) ook niet. En geien pincode en pas op een "natuurlijke" manier bij elkaar horen, ervaar je het niet als gerommel.
totaalgeenhard @_Thanatos_25 mei 2018 16:34
Nee. Is me opgevallen dat in recente security boekjes het zo is opgeschreven.

De tweede authenticatie methode slaat niet per definitie op wat je hebt of wat je bent (biometrie).

Sterker nog wat je hebt is meestal een response na een challenge of een one time password. In beide gevallen heb jij dat algoritme niet. Dus relatief gesproken is dat veel onveiliger dan een SMS waarvoor je fysiek moeite moet doen en derhalve niet schaalbaar en daardoor onwaarschijnlijk is dat ze dat in eenvalsvector gaan gebruiken.

Net zo min dat biometrie een oplossing kan zijn in een situatie waarbij kwaadwillende enige tijd fysiek ergens bij kan zijn.
_Thanatos_ @totaalgeenhard25 mei 2018 19:59
Nouja, uiteindelijk stuur je niet 1x maar 2x een code naar de server, dus met die gedachte is het niet veiliger. Biometrie is ook digitaal opgeslagen als een vaste code, dus nauwelijks beter dan een wachtwoord. Biometrie is dan zelfs een wachtwoord dat je niet kunt wijzigen.
LankHoar 23 mei 2018 21:18
Nooit bij stilgestaan dat dit nog niet kon in Firefox, en eigenlijk ook best vreemd dat het zo lang heeft moeten duren terwijl ze altijd zo op security en privacy hameren. Wel mooi natuurlijk dat het nu kan, dus maar even instellen binnenkort :)
elmuerte 23 mei 2018 21:27
Sinds Firefox 60 ondersteund Firefox WebAuthn... raar dat dit dan weer niet werkt voor Firefox accounts.
phpnuker 23 mei 2018 22:31
Nice, meteen ingeschakeld
dakathefox 24 mei 2018 00:02
Dit zou eigenlijk een verplichting moeten worden voor alle applicaties, webbased of niet.
RoestVrijStaal @dakathefox24 mei 2018 10:46
Hoe wil je dat doen met applicaties die 0% internet nodig hebben?
dakathefox @RoestVrijStaal24 mei 2018 10:54
Je hoeft toch geen internet te hebben om 2FA te activeren? De tweetraps bevestiging hoeft namelijk niet per e-mail, sms verstuurd te worden. Ooit gehoord van Google Authenticator?
_Thanatos_ @dakathefox25 mei 2018 13:07
Google Authenticator werkt via internet. Hoe anders denk je dat een applicatie je code kan verifieren?
dakathefox @_Thanatos_25 mei 2018 16:07
Oh crap. Niet bij stilgestaan.
Goldstrike91 23 mei 2018 21:04
Aanrader voor password management: LastPass.
Joydashy @Goldstrike9123 mei 2018 21:53
Recent overgestapt van LastPass naar Dashlane, kan ik aanraden. Werkt beter, vooral op Desktop.
desalniettemin
@Goldstrike9123 mei 2018 22:05
Bitwarden voor mij: https://bitwarden.com/
MarnickS @desalniettemin24 mei 2018 07:53
Voor mij ook
InflatableMouse @desalniettemin24 mei 2018 09:53
Dit. Reden: gratis, open source, geaudit door externen, en je kan je eigen server hosten en dat maken ze bijzonder gemakkelijk met een docker container.

[Reactie gewijzigd door InflatableMouse op 25 juli 2024 20:57]

totaalgeenhard @Goldstrike9123 mei 2018 21:37
https://www.pcworld.com/a...erability.html#tk.rss_all

Voordeel van Google CHROME en Firefox is dat zoveel mensen het gebruiken dat de kans dat je wachtwoord daadwerkelijk misbruikt zal worden nihil is.
yinx84 @totaalgeenhard23 mei 2018 21:57
Een artikel van een jaar oud? Echt?
totaalgeenhard @yinx8423 mei 2018 22:30
Omdat ze regelmatig in het verleden problemen hebben gekend wil niet zeggen dat ze in de toekomst gevrijwaard zijn.

https://androidworld.nl/a...toegankelijkheid-functie/
_Thanatos_ @Goldstrike9125 mei 2018 12:58
Ja, heel verstandig, om je meest persoonlijke en meest gevoelige gegevens op te slaan bij een partij waarvan je niet weet (niet KUNT weten) hoe betrouwbaar ze zijn. Dat geldt natuurlijk voor alle cloud-based password managers.

Ik gebruik gewoon KeePass. Dikke verslueteling op de database is standaard, en ik sync met m'n Google Drive. Zo weet ik zeker dat Google niet bij mijn wachtwoorden kan - alleen ik omdat alleen ik het wachtwoord weet.
The Chosen One 23 mei 2018 21:13
Nog geen Yubikey support dus. Moet nu wel (makkelijk(er)) mogelijk zijn met de laatste versie volgens mij.
Jerie @The Chosen One23 mei 2018 21:25
Jawel:

https://www.yubico.com/20...o-u2f-in-firefox-quantum/

onderaan:
5.9.18 Update - Firefox 60 is the first browser to support the new security standard, FIDO2, Web Authentication (WebAuthn) and U2F.
en voor Quantum kon je deze gebruiken:

https://addons.mozilla.or...addon/u2f-support-add-on/

Wat betreft Firefox/Mozilla zelf werkte dit inderdaad niet, maar met een wachtwoordmanager kun je een dusdanig complex wachtwoord gebruiken dat deze niet is te bruteforcen en niet wordt hergebruikt.

[Reactie gewijzigd door Jerie op 25 juli 2024 20:57]

maikelonline 23 mei 2018 21:22
Het kan. Fijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq